¿Qué es IAM?

AWS Identity and Access Management (IAM) es un servicio web que lo ayuda a controlar de forma segura el acceso a los recursos de AWS. Con IAM, puede administrar los permisos que controlan a qué recursos de AWS pueden acceder los usuarios. Utilice IAM para controlar quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos. IAM proporciona la infraestructura necesaria para controlar la autenticación y la autorización de su Cuentas de AWS.

Identidades

Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.

Utilice IAM para configurar otras identidades además de su usuario raíz, como administradores, analistas y desarrolladores, y otorgarles acceso a los recursos que necesitan para llevar a cabo sus tareas con éxito.

Administración de accesos

Una vez que un usuario se ha configurado en IAM, utiliza sus credenciales de inicio de sesión para autenticarse en AWS. La autenticación se proporciona cuando coinciden las credenciales de inicio de sesión con una entidad principal (un usuario de IAM, un usuario federado, un rol de IAM o una aplicación) en la que confía la Cuenta de AWS. Luego, se realiza una solicitud para conceder a la entidad principal acceso a los recursos. El acceso se concede en respuesta a una solicitud de autorización si el usuario ha recibido permiso para acceder al recurso. Por ejemplo, si inicia sesión en la consola por primera vez y se encuentra en la página de inicio de la consola, no está accediendo a un servicio específico. Cuando selecciona un servicio, la solicitud de autorización se envía a ese servicio y se comprueba si su identidad aparece en la lista de usuarios autorizados, qué políticas se aplican para controlar el nivel de acceso concedido, y cualquier otra política que pueda estar en vigor. Las entidades principales de su Cuenta de AWS o de cualquier otra Cuenta de AWS de confianza pueden realizar solicitudes de autorización.

Una vez autorizada, la entidad principal puede actuar o llevar a cabo operaciones en los recursos de su Cuenta de AWS. Por ejemplo, la entidad principal puede lanzar una instancia de Amazon Elastic Compute Cloud nueva, modificar las suscripciones a un grupo de IAM o eliminar buckets de Amazon Simple Storage Service.

sugerencia

La formación y certificación de AWS ofrece una introducción en vídeo de 10 minutos a IAM:

Introducción a AWS Identity and Access Management.

Disponibilidad del servicio

IAM, al igual que muchos otros servicios de AWS, ofrece consistencia final. IAM consigue una alta disponibilidad replicando datos entre varios servidores ubicados en centros de datos de Amazon de todo el mundo. Si se realiza correctamente una solicitud para cambiar algunos datos, el cambio se confirma y se almacena de forma segura. Sin embargo, el cambio se debe replicar en IAM, lo que puede llevar algún tiempo. Estos cambios incluyen la creación o actualización de usuarios, grupos, roles o políticas. Le recomendamos que no incluya esos cambios de IAM en las rutas de código de gran importancia y alta disponibilidad de su aplicación. En su lugar, realice los cambios de IAM en otra rutina de inicialización o configuración que ejecute con menos frecuencia. Además, asegúrese de verificar que los cambios se han propagado antes de que los flujos de trabajo de producción dependan de ellos. Para obtener más información, consulte Los cambios que realizo no están siempre visibles inmediatamente.

Información sobre el costo del servicio

AWS Identity and Access Management (IAM), AWS IAM Identity Center y AWS Security Token Service (AWS STS) son características de la cuenta de AWS que se ofrecen sin cargo adicional. Solo se le cobrará cuando acceda a otros servicios AWS utilizando sus usuarios de IAM o AWS STScredenciales de seguridad temporales.

El analizador de acceso de IAM proporciona análisis de acceso externo sin costo adicional. Sin embargo, incurrirá en cargos por el análisis de acceso no utilizado y las comprobaciones de la política de clientes. Para obtener una lista completa de los costos y precios del Analizador de acceso de IAM, consulte Analizador de acceso de IAM.

Para obtener información acerca de los precios de otros productos de AWS, consulte la Página de precios de Amazon Web Services.

Integración con otros servicios de AWS

IAM se integra con muchos servicios de AWS Para obtener una lista de los servicios de AWS que funcionan con IAM y de las características de IAM que son compatibles con los servicios, consulte Servicios de AWS que funcionan con IAM.

Para obtener más información acerca de conceptos de IAM, consulte los siguientes temas:

Temas

• ¿Por qué debo utilizar IAM?
• ¿Cuándo uso IAM?
• ¿Cómo administro IAM?
• Cómo funciona IAM
• Comparar identidades y credenciales de IAM
• Cómo los permisos y políticas permiten realizar administración de acceso
• Definir permisos en función de los atributos con la autorización de ABAC